Phần mềm độc hại và phần mềm không mong muốn đang trở thành mối đe dọa nghiêm trọng đối với các trang web và người dùng trực tuyến. Google liên tục kiểm tra các trang web để phát hiện và ngăn chặn những tệp tin độc hại có thể gây ảnh hưởng tiêu cực đến trải nghiệm người dùng. Trong bài viết này, chúng ta sẽ khám phá chi tiết về phần mềm độc hại, phần mềm không mong muốn, cùng các nguyên tắc quan trọng để bảo vệ trang web của bạn và người dùng.
Google tiến hành kiểm tra các trang web để xác định xem có phần mềm hoặc tệp thực thi nào có khả năng gây tác động tiêu cực đến trải nghiệm người dùng hay không. Phần mềm độc hại và phần mềm không mong muốn thường là các tệp nhị phân có thể tải xuống hoặc các ứng dụng hoạt động trên trang web, gây ảnh hưởng xấu đến trải nghiệm của khách truy cập. Chủ sở hữu trang web có thể xem danh sách các tệp đáng ngờ được lưu trữ trên trang của mình thông qua báo cáo Vấn đề bảo mật.
Phần mềm độc hại là gì?
Phần mềm độc hại bao gồm những chương trình hoặc ứng dụng dành cho thiết bị di động được thiết kế với mục đích gây hại cho người dùng, máy tính, thiết bị di động, hoặc phần mềm vận hành trên các thiết bị đó. Những phần mềm này thực hiện các hành vi độc hại, chẳng hạn như cài đặt phần mềm mà không có sự đồng ý của người dùng hoặc lây nhiễm các loại vi-rút. Đôi khi, chủ sở hữu trang web không nhận thức được rằng các tệp có thể tải xuống từ trang của họ được xem là phần mềm độc hại, dẫn đến việc vô tình lưu trữ những tệp nhị phân này.
Để hiểu rõ hơn về cách Google bảo vệ người dùng khỏi tệp tải xuống độc hại, bạn có thể tham khảo bài viết Bảo vệ người dùng khỏi tệp tải xuống độc hại trên Blog về bảo mật trực tuyến của Google. Ngoài ra, để biết thêm về tiêu chuẩn phần mềm an toàn trên mạng, hãy xem Chính sách về phần mềm không mong muốn của Google.
Phần mềm không mong muốn là gì?
Phần mềm không mong muốn là các tệp thực thi hoặc ứng dụng dành cho thiết bị di động có hành vi lừa đảo, gây phiền toái hoặc làm suy giảm trải nghiệm người dùng trên máy tính hoặc trình duyệt. Những ví dụ điển hình bao gồm phần mềm tự động thay đổi trang chủ hoặc cài đặt trình duyệt sang các thiết lập mà người dùng không mong muốn, hoặc các ứng dụng thu thập và rò rỉ thông tin cá nhân mà không thông báo một cách rõ ràng và minh bạch.
Để hiểu rõ hơn về cách Google bảo vệ người dùng khỏi phần mềm không mong muốn, bạn có thể tham khảo bài viết Đó không phải là tệp tải xuống bạn đang tìm kiếm… trên Blog về bảo mật trực tuyến của Google.
Trong báo cáo Vấn đề bảo mật, thuật ngữ “Phần mềm độc hại” đề cập đến những phần mềm độc hại hoạt động trên nền tảng web mà không cần sự tương tác rõ ràng từ người dùng. Trong khi đó, “Tệp tải xuống có hại” là những tệp chứa phần mềm độc hại hoặc phần mềm không mong muốn, yêu cầu người dùng thực hiện hành động cụ thể để tải chúng xuống.
Khắc phục vấn đề
Để bảo vệ trang web hoặc ứng dụng của bạn, hãy đảm bảo chúng tuân thủ nghiêm ngặt các nguyên tắc về bảo mật. Sau khi thực hiện các biện pháp cần thiết, bạn có thể yêu cầu Google xem xét lại thông qua báo cáo Vấn đề bảo mật.
Nếu ứng dụng dành cho thiết bị di động của bạn bị cảnh báo, bạn có thể gửi khiếu nại để được xem xét lại.
Nguyên tắc
Hãy đảm bảo rằng phần mềm của bạn tuân thủ Chính sách về phần mềm không mong muốn và các nguyên tắc sau đây. Dù danh sách này không bao quát hết mọi trường hợp, nhưng việc vi phạm có thể khiến người dùng gặp cảnh báo khi tải xuống hoặc truy cập ứng dụng và trang web của bạn. Báo cáo Vấn đề bảo mật sẽ cung cấp danh sách các tệp đáng ngờ đang lưu trữ trên trang web của bạn.
Không cung cấp thông tin sai lệch về phần mềm
Đảm bảo người dùng được thông tin rõ ràng về mục đích và chức năng của phần mềm. Người dùng cần có quyền quyết định việc tải xuống phần mềm sau khi đã nắm rõ thông tin cần thiết. Ví dụ, quảng cáo đưa người dùng đến trang tải xuống phải minh bạch, không chứa thông tin sai lệch hoặc gây hiểu lầm, chẳng hạn như:
- Quảng cáo chỉ có chữ “Tải xuống” hoặc “Chơi” mà không làm rõ phần mềm đang được quảng cáo.
- Nút “Chơi” dẫn đến một tệp tải xuống.
- Quảng cáo giả mạo giao diện của trang web chính và hứa hẹn cung cấp nội dung như phim ảnh, nhưng thực tế lại dẫn đến phần mềm không liên quan.
Hãy đọc thêm về hành vi tấn công tâm lý trên Blog về bảo mật trực tuyến của chúng tôi.
Hoạt động đúng như quảng cáo
Phần mềm của bạn phải thể hiện rõ ràng chức năng và mục đích đã được quảng cáo. Nếu phần mềm thu thập dữ liệu người dùng hoặc chèn quảng cáo vào trình duyệt, cần thông báo rõ ràng những hành vi này bằng ngôn ngữ dễ hiểu và không được coi nhẹ những hành vi này như các tính năng phụ.
Cung cấp thông tin rõ ràng và chi tiết
Người dùng cần được thông báo rõ ràng và đầy đủ về mọi thay đổi mà phần mềm của bạn sẽ thực hiện trên trình duyệt và hệ thống của họ. Cho phép người dùng kiểm tra và phê duyệt các tùy chọn cài đặt và thay đổi quan trọng. Giao diện chính của phần mềm phải giải thích cụ thể các thành phần nhị phân và chức năng của chúng, đồng thời cung cấp cách dễ dàng cho người dùng bỏ qua các thành phần đi kèm nếu họ không muốn cài đặt.
Chỉ sử dụng thông tin chứng thực khi được phép
Không sử dụng biểu tượng của các công ty khác để chứng thực sản phẩm nếu chưa được phép. Tương tự, không sử dụng biểu tượng của chính phủ khi chưa có sự chấp thuận.
Không đe dọa người dùng
Phần mềm không được xuyên tạc tình trạng thiết bị của người dùng, chẳng hạn như cảnh báo rằng hệ thống đang gặp nguy cơ bảo mật nghiêm trọng hoặc nhiễm vi-rút. Phần mềm cũng không được tuyên bố cung cấp dịch vụ (như “tăng tốc máy tính của bạn”) nếu thực tế không cung cấp hoặc không thể cung cấp dịch vụ đó. Ví dụ, không quảng cáo phần mềm dọn dẹp và tối ưu hóa máy tính là “miễn phí” nếu các dịch vụ và tính năng quảng cáo đó yêu cầu người dùng phải trả tiền.
Nguyên tắc đối với phần mềm
Sử dụng API cài đặt đúng cách: Nếu phần mềm của bạn thay đổi cài đặt trong Chrome, hãy sử dụng API Cài đặt Google. Tất cả các thay đổi đối với cài đặt mặc định của người dùng, chẳng hạn như công cụ tìm kiếm, trang chủ hoặc trang thẻ mới, phải được thực hiện thông qua API Ghi đè Cài đặt của Chrome. Điều này yêu cầu bạn sử dụng một tiện ích của Chrome và tuân thủ quy trình cài đặt tiện ích theo quy định.
Không chặn cảnh báo của trình duyệt hoặc hệ điều hành: Phần mềm của bạn phải cho phép các hộp thoại cảnh báo từ trình duyệt và hệ điều hành hoạt động đúng chức năng. Không chặn các cảnh báo này, đặc biệt là những cảnh báo về thay đổi cài đặt trình duyệt hoặc hệ điều hành của người dùng.
Ký mã phần mềm: Mã nhị phân của bạn nên được ký với một chứng chỉ hợp lệ và xác minh bởi cơ quan có thẩm quyền. Điều này giúp mã của bạn không bị gắn cờ là phần mềm không mong muốn và cung cấp thông tin xác thực về nhà xuất bản.
Bảo vệ kết nối TLS/SSL: Không cài đặt chứng chỉ gốc hoặc chặn kết nối SSL/TLS trừ khi phần mềm được thiết kế cho mục đích gỡ lỗi hoặc điều tra chuyên sâu. Việc này đảm bảo bảo mật cho kết nối của người dùng. Để biết thêm thông tin, hãy xem các hướng dẫn liên quan trên Blog bảo mật của Google.
Bảo vệ dữ liệu người dùng: Phần mềm của bạn, bao gồm cả các ứng dụng di động, chỉ được truyền dữ liệu riêng tư của người dùng đến máy chủ nếu dữ liệu đó cần thiết cho chức năng của ứng dụng. Hãy đảm bảo rằng dữ liệu này được mã hóa và thông báo rõ ràng cho người dùng.
Đảm bảo phần mềm không gây hại: Phần mềm của bạn phải tôn trọng và không làm gián đoạn trải nghiệm người dùng trên trình duyệt. Tuân thủ các nguyên tắc sau để đảm bảo phần mềm không gây hại:
- Không làm hỏng chức năng đặt lại của trình duyệt. Đọc thêm về chức năng này trong các tài liệu hướng dẫn của Chrome.
- Không bỏ qua hoặc ngăn chặn các thành phần điều khiển giao diện người dùng của hệ điều hành hoặc trình duyệt để thay đổi cài đặt. Hãy sử dụng API Cài đặt để thực hiện các thay đổi cần thiết.
- Sử dụng tiện ích để thay đổi chức năng của Chrome thay vì can thiệp trực tiếp vào hành vi trình duyệt thông qua các phương pháp lập trình khác.
Mô tả sản phẩm và thành phần rõ ràng: Đảm bảo rằng thông tin về sản phẩm và thành phần của bạn không gây hiểu lầm. Ví dụ, sản phẩm của bạn không được tuyên bố sai lệch về tình trạng bảo mật của hệ thống hoặc rằng hệ thống đã nhiễm vi-rút nếu không đúng.
Cung cấp quy trình gỡ cài đặt dễ dàng: Phần mềm của bạn phải có hướng dẫn rõ ràng về cách khôi phục trình duyệt hoặc hệ thống về cài đặt ban đầu. Quy trình gỡ cài đặt phải đảm bảo loại bỏ hoàn toàn mọi thành phần và không ngăn cản người dùng hoàn tất quá trình.
Đảm bảo tính hợp lệ của các thành phần đi kèm: Nếu phần mềm của bạn bao gồm các thành phần đi kèm, bạn có trách nhiệm đảm bảo rằng các thành phần này không vi phạm các nguyên tắc và quy định đã đề ra.
Nguyên tắc đối với tiện ích của Chrome
Tất cả các tiện ích của Chrome phải được công bố và cài đặt theo đúng quy trình và chính sách của Chrome. Các tiện ích này cần được lưu trữ trên Cửa hàng Chrome trực tuyến, đồng thời phải bị vô hiệu hóa theo mặc định để đảm bảo tuân thủ các chính sách của Cửa hàng Chrome trực tuyến, bao gồm cả chính sách về mục đích duy nhất. Đối với các tiện ích được cài đặt qua một chương trình, bạn phải triển khai quy trình cài đặt tiện ích được phê duyệt của Chrome, trong đó người dùng sẽ được nhắc nhở để kích hoạt tiện ích trong Chrome. Các tiện ích không được phép ngăn chặn Chrome hiển thị hộp thoại cảnh báo cho người dùng về bất kỳ thay đổi nào trong cài đặt trình duyệt.
Hướng dẫn gỡ cài đặt tiện ích
Khi người dùng gỡ cài đặt một chương trình, trải nghiệm người dùng lý tưởng là tất cả các thành phần liên quan đến chương trình đó cũng bị xóa sạch. Quy trình gỡ cài đặt cần cung cấp hướng dẫn rõ ràng, giúp người dùng dễ dàng vô hiệu hóa và xóa tiện ích một cách triệt để.
Tuân thủ quy trình cài đặt đúng chuẩn
Nếu mã nhị phân của bạn cài đặt một tiện ích bổ sung hoặc thay đổi cài đặt mặc định của trình duyệt, mã này phải tuân theo API và quy trình cài đặt tương ứng với trình duyệt đó. Ví dụ, nếu mã nhị phân cài đặt một tiện ích của Chrome, tiện ích này phải được lưu trữ trên Cửa hàng Chrome trực tuyến và tuân thủ Chính sách chương trình dành cho nhà phát triển của Chrome. Nếu mã nhị phân cài đặt một tiện ích vi phạm chính sách Tùy chọn phân phối tiện ích thay thế của Chrome, mã đó sẽ bị coi là phần mềm độc hại.
Tham khảo thêm thông tin
Để hiểu rõ hơn về lượt cài đặt thầm lặng, bạn có thể tham khảo các bài viết liên quan trên Blog của Chromium và Blog về bảo mật trực tuyến của chúng tôi. Ngoài ra, để biết cách phát hành tiện ích trên Cửa hàng Chrome trực tuyến, bạn cũng nên tìm hiểu thêm thông tin từ các nguồn này.
Nguyên tắc đối với ứng dụng di động
Hãy minh bạch về mục đích thu thập dữ liệu của bạn và yêu cầu sự đồng ý từ người dùng trước khi tiến hành thu thập và truyền tải dữ liệu qua thiết bị. Điều này bao gồm cả dữ liệu từ tài khoản bên thứ ba, email, số điện thoại, ứng dụng đã cài đặt và các tệp trên thiết bị di động. Đảm bảo rằng mọi dữ liệu cá nhân và nhạy cảm của người dùng mà bạn thu thập đều được mã hóa và xử lý an toàn. Đối với ứng dụng không phân phối qua Google Play, bạn cần công bố thông tin về việc thu thập dữ liệu trong ứng dụng. Còn đối với các ứng dụng trên Google Play, việc công bố thông tin phải tuân thủ chính sách của Google Play. Tránh việc thu thập dữ liệu không liên quan đến mục đích đã công bố.
Không được mạo danh thương hiệu hoặc ứng dụng khác
Tránh sử dụng các hình ảnh hoặc thiết kế tương tự với thương hiệu hoặc ứng dụng khác mà không có sự cho phép hoặc không thích hợp, nhằm tránh gây nhầm lẫn cho người dùng.
Giới hạn nội dung trong phạm vi của ứng dụng
Ứng dụng của bạn không được can thiệp vào các ứng dụng khác hoặc làm suy giảm hiệu suất của thiết bị. Đồng thời, ứng dụng không được hiển thị quảng cáo hoặc nội dung không liên quan đến chức năng chính của ứng dụng mà chưa có sự đồng ý của người dùng và chưa rõ ràng về nguồn gốc của quảng cáo.
Đảm bảo ứng dụng thực hiện đúng chức năng đã cam kết
Ứng dụng phải cung cấp đầy đủ các tính năng và chức năng như đã quảng cáo cho người dùng. Ứng dụng có thể cập nhật nội dung, nhưng không được tải về các ứng dụng khác mà người dùng không biết hoặc không đồng ý.
Minh bạch trong hoạt động của ứng dụng
Ứng dụng không được gỡ cài đặt hoặc thay thế các ứng dụng khác hoặc lối tắt của những ứng dụng đó, trừ khi đó là mục đích đã nêu rõ. Quá trình gỡ cài đặt phải rõ ràng và hoàn chỉnh. Ứng dụng cũng không được mô phỏng các cảnh báo hoặc lời nhắc từ hệ điều hành hoặc các ứng dụng khác.
Tuân thủ chính sách của Google Play
Các ứng dụng phân phối qua Google Play phải tuân thủ Chính sách chương trình dành cho nhà phát triển và Thỏa thuận phân phối dành cho nhà phát triển. Những chính sách này bao gồm các yêu cầu bổ sung mà ứng dụng phải tuân theo.
Nếu bạn là người dùng Search Console và gặp các vấn đề bảo mật kéo dài hoặc không thể khắc phục trên trang web của mình, hãy liên hệ với chúng tôi để được hỗ trợ.
Phần mềm độc hại và phần mềm không mong muốn không chỉ gây hại cho người dùng mà còn ảnh hưởng nghiêm trọng đến uy tín và hiệu suất của trang web. Việc tuân thủ các nguyên tắc bảo mật và thường xuyên kiểm tra, cập nhật nội dung là cách hiệu quả nhất để bảo vệ trang web của bạn. Hãy đảm bảo rằng mọi phần mềm và ứng dụng liên quan đến trang web của bạn đều tuân thủ các chính sách bảo mật của Google để mang lại trải nghiệm tốt nhất cho người dùng.
